top of page
検索
執筆者の写真tatsumi68

内部統制とは(第1回)


2008年4月から、金融商品取引法に基づく内部統制報告制度が開始されました。

その後5年を経て現在にいたりますが、ここで改めて内部統制について、2回に分けて整理してみたいと思います。

 

✜ 内部統制報告制度

内部統制報告制度とは、経営者自らが財務報告を正しく作成するための社内チェック体制が有効に機能しているか評価し報告する制度です。

経営者は、評価結果を記載した「内部統制報告書」を作成し、公認会計士又は監査法人の監査を受けることになります。

※金融商品取引法第24条の4の4(財務計算に関する書類その他の情報の適正性を確保するための体制の評価)

「2008年4月1日以降開始する事業年度末において、 全ての上場会社は金融商品取引法第24条の4の4の第一項に規定される内部統制報告書を作成すること」

※金融商品取引法第193条の2

「金融商品取引所に上場されている有価証券報告書の発行会社その他のもので政令で定めるものが、第24条の4の4の規定に基づき提出する内部統制報告書には、その者と特別の利害関係のない公認会計士又は監査法人の監査を受けなければならない」

 

✜ 内部統制

内部統制とは、以下の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスのことです。

  • 業務の有効性及び効率性

  • 財務報告の信頼性

  • 事業活動に関わる法令等の遵守

  • 資産の保全

日本において内部統制の根拠法と考えられる法律は、「会社法」と「金融商品取引法」の二つです。 その中でもJ-SOX法と呼ばれる日本版SOX法の中核となるのが「金融商品取引法」です。

 

✜ 実施基準

財務報告に係る内部統制報告制度は、金融商品取引法の制度として運用されています。 導入から3年の実務運用の中で内部統制の評価作業が大きな負担となってしまったケースが見受けられました。

このような背景から、リスクが低い項目については、より簡素化を図るべきであるという実務サイドの要望を受け、平成 23 年 3 月に内部統制報告制度に関する基準(「財務報告に係る内部統制の評価及び監査に関する基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」)が改訂されています。

その実施基準は、以下の3章で構成されています。

  1. 内部統制を整備する際の考え方を示す「内部統制の基本的枠組み」

  2. 経営者向けに整備・運用状況の評価方法を示す「財務報告にかかる内部統制の評価および報告」

  3. 監査項目を示す「財務報告にかかる内部統制の監査」

 

1. では内部統制全般について、2. と3. は金融商品取引法が求める「財務報告の適正性確保」に絞って説明されており、経営者による内部統制の評価と、監査人による内部統制の監査に関して、例示を交えながらIT統制について述べられています。

​2. では、「業務プロセスにかかる内部統制の評価」の中で、IT統制について触れられています。

例えば、どのシステムまでを内部統制の評価範囲にすればよいかを説明するために、「販売取引における売り上げと入金の業務プロセスおよび会計データとの関連」を図示し、経営者評価の対象となる会計データと、業務プロセスやシステム、連携するシステムなどの関係が説明されています。

​3. では、監査人が見るべきIT統制の監査項目として、全般統制では「システム、ソフトウエアの開発、調達または変更について、事前に経営者または適切な管理者に所定の承認を得ている」ことや、業務処理統制では「入力情報の完全性、正確性、正当性等を確保するための手段がとられている」などが挙げられています。

実施基準では、上記のように「(ITを活用することで)より有効かつ効率的な内部統制の構築を可能とする」こと、とITの有効性が明記され、その上で内部統制の整備に必要なIT統制を「IT全般統制」と「IT業務処理統制」に分けて解説しています。

 

IT全般統制とは、「業務処理統制が有効に機能するための統制活動」を指し、以下の4分野に分けて管理されることが一般的です。

  • システムの開発・保守にかかる管理

  • システムの運用・管理

  • 内外からのアクセス管理などシステムの安全性の確保

  • 外部委託に関する契約の管理

もう一つのIT業務処理統制とは、「業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれた統制活動」をいいます。

具体的には次のような活動があります。

  • 入力情報の完全性、正確性、正当性等を確保する統制

  • 例外処理(エラー)の修正と再処理

  • マスター・データの維持管理

  • システムの利用に関する認証、操作範囲の限定などアクセスの管理

​以上のIT統制の内容は、米SOX法(2002年サーベインズ・オクスリー法)への対応と、基本的に共通しています。

 

次回は「IT全般統制」と「IT業務処理統制」について、もう少し具体的な評価ポイントやリスクの事例について整理してみたいと思います。

閲覧数:241回0件のコメント

最新記事

すべて表示
bottom of page